远程监控和管理(RMM)平台ConnectWise Control中的跨站点脚本(XSS)漏洞为攻击者提供了滥用远程访问工具的强大攻击媒介。Guardio Labs披露了存储的XSS漏洞，现已修补，该漏洞在7月发布了技术支持诈骗分析，这是一种普遍存在的现象，诈骗者滥用RMM平台以创建虚假的技术支持门户并欺骗受害者无意中安装恶意软件。一旦安装，远程访问工具就会让攻击者远程控制受害者的台式电脑或移动设备，报告称，“它是持久的，几乎无法检测到，并且绕过几乎所有常规形式的保护。为了表现出至高无上的胆量，这些骗子甚至利用这种能力绕过2FA保护并完全控制PayPal和银行账户”。

记录ConnectWise XSS的新技术文章解释了攻击者如何轻松注册一个免费的匿名电子邮件帐户并提交虚假的个人详细信息。这将为他们提供企业级远程访问代理和支持门户，他们可以自定义——无需编码技能——以令人信服地模仿知名品牌。

然后，诈骗者可以打电话给受害者并欺骗他们，例如，向他们发送“他们从未注册过的某些服务的假发票，紧急将他们转介到 [...] 假退款服务门户以输入“发票”代码（触发专用的静默[远程访问工具] 安装），”Guardio Labs负责人Nati Tal写道。

存储的XSS错误是由于Page.Title资源缺乏卫生而引起的。“我们通过一些操作恶意注入到<title>标签之间的任何代码都会像Web应用程序上下文中的任何其他代码一样执行——就好像是由该服务的官方所有者编写的一样，”Tal解释道。

“从此上下文执行的脚本使攻击者可以完全控制Web应用程序的任何元素，可能会改变页面的任何元素以及与后端服务器的连接，”Tal继续说道。

诈骗者还可能“滥用托管服务本身——允许滥用ConnectWise托管、身份和证书来提供恶意代码或获得对管理页面的完全访问权限，即使在试用期结束后也是如此。”

ConnectWise最近在其远程支持服务中添加了一个重要的咨询，以提醒访问者注意这种社会工程威胁。但是，Guardio Labs发现攻击者也可以执行删除此警告的代码。

Tal 指出，ConnectWise此后通过删除试用账户的定制功能做出回应——“一个大胆的举动”，这将防止诈骗者创建看起来可信的亚马逊或微软支持页面，但代价是失去有用的功能和商业差异化因素。他说：“他们确实认真对待了这件事，我们对此深表感谢，这肯定会有助于提高网页浏览的安全性，让诈骗者的日子更难过。”

研究人员补充说， “ConnectWise反应灵敏，并迅速解决了这个问题”，方法是向Page.Title添加清理功能，以消除Guardio的漏洞利用代码。

建议用户更新至2022年8月8日发布的v22.6或之后的版本。